Security Lab

Отключаем Нортон Антивирус

Дата публикации:19.07.2001
Дата изменения:17.10.2006
Всего просмотров:9390
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

 Нортон Антивирус имеет особенность блокировать вирусы, которые нашла программа, пока пользователь/администратор не решит, что делать с ними. Обычно параметры настройки конфигурации для этой особенности - защищенный пароль, но эта защита с использованием пароля может быть легко сломана из-за двух проблем в изделии. Первая проблема - слабый пароль, который использует модуль Norton Antivirus Quarantine (NAQ).

1) Symantec использует шестнадцатеричное преобразование таблицы символов, чтобы зашифровать пароль. Преобразование шестнадцатеричного в десятеричный и изучения соответствующую таблицу ASCII даст Вам правый символ. Вот – эта таблица:

a 41 b 42 c 43

d 44 e 45 f 46

g 47 h 48 i 49

j 4A k 4B l 4C

m 4D n 4E o 4F

p 50 q 51 r 52

s 53 t 54 u 55

v 56 w 57 x 58

y 59 z 5A



0 30 1 31 2 32

3 33 4 34 5 35

6 36 7 37 8 38

9 39



ALT+255 A0 Space 20

2) Вы можете легко обходить защиту с использованием пароля. Откройте 'QuarOpts.dat' и установите значение "ENABLED=TRUE" в "FALSE". Это позволит вам сконфигурировать (NAQ) без знания пароля.



Вторая проблема состоит в том, что служба Norton Antivirus может быть легко дезактивирована. Когда Norton AntiVirus 2002 установлен в операционной системе Windows NT/2000, в нем добавлена новая служба, которая называется называется 'Norton AntiVirus Auto Protect Service'. Эта служба автоматически стартует 'Norton Antivirus AutoProtect Service' после каждого запуска Windows. Метод запуска может изменяться, изменяя одно значение в системном реестре.



Ключ находится в: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\navapsvc



Изменяя значении DWORD 'Start' на любой из перечисленных, позволит изменить поведение службы при запуске:

2 = (default) automatic startup

3 = manual startup

4 = startup disabled

Эксплоит:

Этот эксплоит изменит статус сервиса на “disabled”.



<< ============================== disable_start.js

============================== >>

var WSHShell = WScript.CreateObject("WScript.Shell");

WSHShell.RegWrite("HKLM\\SYSTEM\\CurrentControlSet\\Services\\navapsvc\\start", 4, "REG_DWORD"); << ============================== disable_start.js

============================== >>